どうも、Tです。
WSUSを使うとき、WSUSクライアントからWindows Updateに関連する操作をして欲しくないときの以下のグループポリシーの検証の備忘録です。
- Windows Updateのすべての機能へのアクセスを削除する
目次
環境
バージョン
検証環境については、下記記事の「環境」をご参照ください。
事前に設定しているグループポリシー
以下のグループポリシーは事前に設定済みの環境で確認しています。
- 自動更新を構成する
- イントラネットのMicrosoft更新サービスの場所を指定する
設定の詳細は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の検証結果を参照してください。
GPOが未構成の場合
「Windows Updateのすべての機能へのアクセスを削除する」ポリシーが未構成の場合に操作できる項目について記載します。
Windows Update画面の「更新プログラムのチェック」と「更新の一時停止」の項目が操作できます。
詳細オプションの「最新の状態にしてください」のオンオフの操作が行えます。
GPO設定
事前に作成しておいたWSUSクライアントが所属する「c-client-test」OUを右クリックし、「このドメインにGPOを作成し、このコンテナーにリンクする」をクリックします。
GPO名「windowsupdate-18」を入力し「OK」をクリックします。
18の番号は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の項目に記載しているNoです。
個人的に検証結果がわかりやすいように番号を振っているだけなので任意の名前で問題ありません。
GPOが作成されたら右クリックから「編集」をクリックします。
「コンピュータの構成」->「管理用テンプレート」->「Windows コンポーネント」->「Windows Update」->「Windows Updateのすべての機能へのアクセスを削除する」をダブルクリックします。
「有効」を選択し「OK」をクリックします。
GPO設定後
GPO設定後、WSUSクライアントを再起動するか「gpupdate /foce」コマンドでグループポリシーを反映します。
Windows Update画面の「更新プログラムのチェック」と「更新の一時停止」の項目が操作がグレーアウトして行えなくなります。
詳細オプションの「最新の状態にしてください」のオンオフがグレーアウトして操作が行えなくなります。
参考
まとめ
「Windows Updateのすべての機能へのアクセスを削除する」ポリシーを設定するのは、以下の設定を行わせるか、行わせないかが判断ポイントになりそうです。
項目 | GPO 未構成 | GPO 適用 |
---|---|---|
更新プログラムのチェック | 操作可能 | 操作不可 |
更新の一時停止 | 操作可能 | 操作不可 |
最新の状態にしてください | 操作可能 | 操作不可 |